Il termine Cyber Security – o sicurezza informatica – abbraccia quell’insieme complesso di attività, strumenti e regole teso a proteggere, a difendere.
La domanda è: a “che cosa” è diretta l’azione di tale insieme? Protegge il contenitore o il suo contenuto? Difende il sistema oppure i dati che si trovano al suo interno? Quindi… cosa significa esattamente cyber security?
Indice dei contenuti
Cos’è e come funziona la Cyber Security
La Cyber Security (o anche Cybersecurity) rappresenta tutte quelle azioni e processi che hanno lo scopo di proteggere la rete e i sistemi informatici da attacchi sferrati tipicamente da attori malevoli detti hacker (o criminali informatici).
E’ bene specificare che esistono due tipologie di hacker:
- Black Hat, sono i criminali informatici che sfruttano le vulnerabilità per commettere atti illeciti per trarne profitto.
- White Hat, al contrario sono gli hacker buoni che si occupano di testare i sistemi con lo scopo di proteggerli e di migliorarne le sicurezza.
All’interno di un’azienda la sicurezza si basa non solo sulla tecnologie utilizzate ma anche sui processi e sul fattore umano.
Dunque, ogni azienda che voglia proteggere in modo completo le proprie attività e il proprio business, deve poter adottare una strategia in cui sicurezza informatica e sicurezza dei dati camminino insieme.
Strategia che deve avere come obiettivo principe la prevenzione di minacce e di attacchi finalizzati a interrompere, danneggiare – o distruggere del tutto – le funzionalità del sistema informatico e ad accedere in modo non autorizzato ai dati, per manometterli o rubarli.
Le minacce e gli attacchi ai danni di sistemi informatici e di dati sono di diverse tipologie. Innanzitutto, si distinguono quelli intenzionali – provenienti dall’interno dell’azienda (da ex dipendenti oppure da personale ancora in servizio) oppure dall’esterno – e quelli involontari e accidentali, dovuti per lo più a distrazione o inesperienza e a problemi o guasti tecnici interni al sistema stesso.
Tra gli attacchi informatici intenzionali provenienti dall’esterno dell’azienda, i più comuni sono i DoS (Denial of Service), che mirano a esaurire le risorse del sistema fino a impedirgli di erogare il servizio; il Drive by Download, che agisce tramite l’installazione di un’applicazione dannosa indesiderata, all’insaputa – o senza consenso – dell’utente; il ManInTheMiddle, in cui qualcuno segretamente ritrasmette o altera la comunicazione tra due parti; il Phishing, truffa in cui la vittima viene convinta a fornire informazioni personali, dati finanziari o codici di accesso; Ransomware, un tipo di Malware (originariamente chiamato “virus del computer” o “codice maligno”) che limita l’accesso del sistema infettato, richiedendo un riscatto in denaro per sbloccarlo.
Vediamo un po’ più in dettaglio quali sono le tipologie di minacce alla cyber security.
Le differenti tipologie di minacce
Come accennato, la cyber security ha l’obiettivo di proteggere il cyberspazio dai cyberattacchi, è quindi il pilastro strategico e tecnologico attraverso il quale individuare minacce, vulnerabilità, rischi, attacchi… ma di cosa parliamo esattamente? Quali sono le tipologie di minacce a cui è necessario fare attenzione?
1. Brute force, forzare l’accesso ai sistemi sfruttando le vulnerabilità
Partendo dall’assunto che i cyberattack hanno come scopo quello di introdursi nella rete e nei sistemi informativi aziendali, i modi per riuscire nell’intento sono molteplici. Quello più “tradizionale” è il superamento delle difese di cybersecurity tramite brute force, forza bruta: i cyber criminali trovano il modo di “forzare l’accesso” identificando vulnerabilità nei sistemi, in un software, nella rete, in una piattaforma o un database, penetrando così nei repository in cui sono custoditi i dati dell’azienda.
2. Phishing, le truffe informatiche via e-mail
L’attacco phishing è molto facile da attuare e, nonostante la cultura in termini di cybersecurity nelle aziende (ed anche nella popolazione cittadina) sia notevolmente cresciuta negli ultimi anni, risulta una minaccia ancora molto efficace dal punto di vista di chi la mette in essere.
Il phishing è una minaccia che sfrutta le e-mail per uno scopo di truffa, sia esso convincere le persone a cliccare su alcuni link che rimandano a siti web che contengono malware e spyware sia esso un sistema per recuperare i dati degli utenti (per esempio richiedono credenziali e password di accesso ad un sistema con la scusa che devono essere riconfermati o controllati dall’azienda da cui è apparentemente stata inviata l’e-mail).
Il motivo per cui questa minaccia, ancora oggi, è molto efficace, sta nel fatto che le e-mail sono sempre più curate, risultano veritiere e confondono spesso anche le persone più attente, addirittura ne arrivano anche su account PEC, inducendo in errore molte persone che credono che quelle siano a tutti gli effetti e-mail vere, inviate da un reparto aziendale, da un partner/fornitore, da un’azienda con la quale si fa business, dalla propria banca o da un istituto finanziario…
Un attacco phishing genera quasi sempre un accesso non autorizzato a sistemi IT e dati aziendali e/o dei singoli utenti, un data breach che, secondo le nuove regole del GDPR, deve essere comunicato e gestito tempestivamente.
3. DDoS, gli attacchi Denial of Service distribuiti
Tempestare un sito o un servizio digitale di richieste fino a metterlo ko. Ecco cos’è un attacco DDoS che letteralmente significa negazione (o interruzione) distribuita del servizio (DDoS – Distributed Denial of Service), un sistema di attacco che inoltra traffico in entrata su una risorsa IT (un sito internet, un web server, ecc.) fino ad esaurirla/intasarla, al punto da non poter più erogare i servizi che funzionano con tale risorsa (per esempio la piattaforma eCommerce, oppure il sistema di ticketing o l’help desk, integrata nel sito web dell’azienda).
Quando parliamo di DDoS, o attacco Denial of Service distribuito, ci riferiamo ad una tipologia di attacco tanto semplice da mettere in atto quanto proporzionalmente efficace dal punto di vista del risultato, al punto da mandare il tilt anche aziende con infrastrutture critiche come ospedali o aeroporti.
Lo strumento principale con il quale i cybercriminali sferranno attacchi DDoS è rappresentato dalle cosiddette botnet, reti di computer e dispositivi connessi a Internet (tra i quali anche i più recenti dispositivi IoT) che vengono infettati con un malware – per esempio un trojan, un tipo di malware che si “nasconde” all’interno di un’applicazione o un servizio IT “regolare” che viene infettata con del codice malevolo – per consentirne l’accesso e la gestione da remoto (nonché per renderli parte attiva di questa rete di dispositivi).
Un attacco DDoS, infatti, non è altro che una tempesta di “segnali digitali” – provenienti da più fonti distribuite – “fasulli” che mandano in tilt le risorse informatiche che ricevono tali segnali informatici. L’attacco viene sferrato mandando migliaia e migliaia di richieste di accesso ad una risorsa IT (server, reti di distribuzione, siti internet, web server, server di posta, ecc.), da un’unica sorgente di traffico (per esempio un numero consistente di email in arrivo tutte contemporaneamente al punto da mettere ko il server di posta).
4. Ransomware, i riscatti che preoccupano di più le aziende
Ormai noto come il “pizzo digitale”, il ransomware è un sistema di attacco che consiste nel cifrare e tenere in “ostaggio” i dati delle aziende finché non viene pagato un riscatto (l’attacco sfrutta avanzati sistemi di crittografia per cui dati, informazioni, documenti, cartelle e persino servizi digitali vengono “bloccati” senza consentirne a nessuno l’accesso ed il recupero).
Secondo l’ultimo rapporto del Clusit, i malware rappresentano ormai da anni le principali minacce per aziende ed organizzazioni sia private sia pubbliche; quasi la metà di tutti i malware in circolazione è determinata proprio dai ransomware (erano un quarto nel 2018, dato inequivocabile che dimostra come stanno evolvendo le tipologie di minacce e la loro distribuzione).
Una delle varianti più dannose di ransomware alle quali abbiamo assistito nel recente passato si è “palesata” nel mese di aprile 2017 quando una variante di “Wannacry” (uno dei ransomware più famosi) ha messo in ginocchio ospedali, ambulanze, aziende private e pubbliche in tutta Europa.
A confermare il quadro tracciato nel rapporto 2020 del Clusit sulla sicurezza ICT in Italia, ci sono le notizie di cronaca del 2020. Enel e Honda sono state colpite ad inizio giugno 2020 dal ransomware Ekans – anagramma di Snake, è un ransomware specializzato per colpire i sistemi di controllo industriale (ICS) – dopo che il ransomware aveva già colpito la grande catena di ospedali europea Fresenius. Poche settimane dopo è arrivata la notizia di un attacco a Geox che ha subìto un ransomware che ha bloccato l’azienda per ben 48 ore.
Stando agli analisti di settore, un attacco malware di questa gravità costa alle organizzazioni aziendali, in media, 4 milioni di Euro (cifra stimata facendo la media degli attacchi solo nel 2019).
Recentemente, si sono visti con maggiore frequenza i cosiddetti ransomware encryption, attacchi ransomware che colpiscono i backup.
Il più “famoso” di questi ransomware si chiama CryptoLocker (trojan comparso nel tardo 2013, perfezionato poi nel maggio 2017) anche se, dal 2017 ad oggi, i ransomware encryption sono stati perfezionati dai cybercriminali e mirano ad attaccare i NAS – Network Attached Storage e, in generale, i sistemi di backup per limitare le possibilità di recovery alle aziende e aumentare la probabilità di ricevere denaro – come riscatto – per la decriptazione dei file, delle cartelle e dei dati oggetto di attacco.
Secondo alcune recenti analisi, solo negli ultimi mesi del 2019 il numero di modifiche nuove relative agli encryption ransomware è cresciuto di oltre il 150%, segnando poi un nuovo +130% solo a marzo 2020.
5. Data breach, la violazione dei dati a seguito di incidenti informatici
Con l’espressione Data Breach si fa riferimento a una violazione di dati o di informazioni digitali in seguito a un incidente informatico. Incidenti che possono essere i più svariati, non solo attacchi malware ma anche errori umani, malfunzionamenti di sistemi, ecc.
Con Data Breach, solitamente, si intende un incidente informatico, di natura colposa o dolosa, che coinvolge informazioni digitali. Il GDPR ne fornisce una descrizione agli articoli 33 e 34 definendolo come “una violazione di sicurezza – accidentale o illecita – che causa la distruzione, la perdita, la modifica, la divulgazione o l’accesso non autorizzato ai dati personali conservati o trattati”.
Il GDPR disciplina il Data Breach prevedendo espressamente un obbligo di notifica e comunicazione in capo al titolare, in presenza di violazioni di dati personali che possano compromettere le libertà e i diritti dei soggetti interessati.
Sebbene la maggioranza dei Data Breach sia riconducibile ad errori umani, tra gli esempi di Data Breach provocati da attacchi hacker, figura il ransomware, di cui abbiamo trattato nel paragrafo precedente.
Le fasi della cybersecurity
Da che cosa è bene partire per implementare un’efficace strategia di cyber security in azienda e rispettare i termini del Network and Information Security Directive 2? Come definire il piano di sicurezza?
Le linee guida del National Institute of Standard and Technology (NIST), agenzia di governo USA, suggeriscono un approccio articolato in cinque fasi, che rimandano a cinque azioni precise: identificare, proteggere, rilevare, rispondere, ripristinare.
Punto di partenza, indentificare i beni materiali dell’azienda (tra cui tutti i suoi apparati informatici), i suoi beni immateriali (i dati e le informazioni) e le risorse tecnologiche: questo è il patrimonio da difendere. Si procede, poi, con l’analisi e la valutazione delle vulnerabilità degli asset identificati e dei rischi, ovvero di tutti i tipi di pericoli, sia digitali che fisici, che potrebbero minacciarli.
Questa prima fase della definizione della strategia, e del conseguente piano di cyber security, non va mai trascurata, in quanto da essa dipendono la bontà delle fasi successive e il modo in cui l’azienda saprà fare fronte al verificarsi di eventuali incidenti.
Dando priorità agli elementi più critici emersi dall’analisi delle vulnerabilità e dei rischi, si procede quindi con la seconda fase – “proteggere” – che coincide con la scelta e l’applicazione del tipo di protezione più idonea alla specifica struttura aziendale, che va dal semplice antivirus a soluzioni e contromisure più complesse.
Ogni sistema di sicurezza adottato va sottoposto a regolare test di collaudo per rilevarne l’affidabilità e l’efficacia.
Insieme all’audit di sicurezza – oppure in alternanza – è possibile attuare anche il “penetration test”, vale a dire la valutazione, dall’esterno, del grado di sicurezza del sistema informatico, simulando un vero e proprio attacco hacker.
Gli step successivi previsti dal NIST – rispondere e ripristinare – sono in relazione a quanto viene definito nei passi precedenti e prevedono automatismi più o meno sofisticati e procedure semplici oppure complesse.
Ricordiamo che, affinché ogni strategia, ogni piano, possa garantire una corretta e puntuale gestione della sicurezza informatica in azienda, deve rispondere ai principi di “disponibilità dei dati”, “integrità dei dati” e “riservatezza”. Che cosa significa, nel concreto?
Pur prevedendo una riduzione significativa del rischio di intrusioni illecite nel database aziendale e del rischio di furto di dati, il principio di disponibilità deve garantire l’accesso, e l’usabilità dei dati da parte di chi, all’interno dell’azienda, ne ha bisogno nell’ambito delle proprie mansioni e attività.
L’integrità dei dati, invece, è intesa come garanzia che i dati e le informazioni aziendali non siano oggetto di manipolazioni in seguito a errori o azioni volontarie, oltre che a malfunzionamenti o a danni del sistema stesso.
La riservatezza informatica rimanda, infine, alla gestione della sicurezza in maniera tale che l’accesso alle informazioni e il loro utilizzo avvengano in forma lecita e nel rispetto della privacy di ognuno.
Le diverse aree della sicurezza informatica
Insieme complesso di attività, strumenti e regole, la cyber security è chiamata a difesa di tutti gli apparati informatici presenti in azienda – includendo macchine, computer, server, reti, dispositivi mobili – e di tutti i tipi di dati e di informazioni. Ne deriva che le sue aree di intervento sono molteplici, a partire dalla sicurezza delle reti informatiche e dalla sicurezza delle applicazioni.
Se la prima ha come obiettivo la protezione delle reti aziendali da attacchi mirati provenienti dall’esterno, la sicurezza delle applicazioni ha lo scopo di tutelare software e dispositivi. Un’applicazione compromessa, resa debole, infatti, allenta le maglie, consentendo l’accesso libero a informazioni che, al contrario, dovrebbe essere tenere in cassaforte.
La sicurezza delle informazioni, invece, protegge l’integrità e la riservatezza dei dati, sia quelli presenti in archivio che quelli in transito, mentre la sicurezza operativa prevede processi per la gestione e la protezione di tutti gli asset relativi ai dati, dalle autorizzazioni utilizzate per avere accesso alla rete fino alle procedure che specificano in che modo possono essere memorizzati o condivisi i dati.
Con le espressioni “disaster recovery” e “business continuity” si fa riferimento ai piani di cybersecurity con i quali l’azienda reagisce, fa fronte a un crimine informatico e a qualsiasi evento responsabile della perdita di dati.
Più nel dettaglio, le policy di disaster recovery comprendono quelle procedure volte a ripristinare le operazioni e le informazioni dell’azienda prima del cyber crime.
Mentre, la business continuity fa riferimento alla strategia adottata per continuare le proprie attività senza le risorse e le informazioni andate perdute.
La formazione degli utenti è un altro aspetto importante della sicurezza informatica. Chi, all’interno dell’azienda, non segue le procedure di sicurezza e non rispetta la policy definita, ad esempio, corre il rischio di introdurre accidentalmente un virus nel sistema e – non eliminando gli allegati di email sospette o inserendo unità USB non identificate – di causare danni gravi agli asset aziendali.
Le statistiche ci dicono che i problemi di sicurezza IT più comuni – e dannosi – sono dovuti proprio a errori umani da parte dei dipendenti, tra cui la perdita o il furto della chiavetta USB o del portatile contenente informazioni sensibili relative all’attività aziendale.
Il GDPR e la protezione dei dati nell’ambito della cyber security
Entrato in vigore il 25 maggio 2018, il GDPR – General Data Protection Regulation ha segnato un punto di svolta nella gestione della sicurezza dei dati e del loro trattamento in azienda.
Dove, per “dati personali”, il Regolamento UE intende qualsiasi informazione riguardante la persona fisica, identificata – o identificabile – attraverso nome, cognome, codice identificativo, dati relativi alle sue caratteristiche fisiche, fisiologiche, genetiche, psichiche, economiche, culturali o sociali.
Novità assoluta del Regolamento, il fatto di non considerare la normativa privacy pura teoria, ma di affidare a figure specifiche all’interno dell’azienda (titolare e responsabile del trattamento dei dati) il compito della messa in pratica di quanto prescrive: tutte le decisioni in merito vengono demandate a loro, ai quali spetta la definizione di misure tecniche e organizzative atte a garantire un adeguato livello di sicurezza dei dati, sempre coerente con il grado di rischio rilevato.
Si tratta del cosiddetto principio di “accountability”, che prevede l’assunzione di responsabilità, da parte dei soggetti nominati, nell’implementare policy di sicurezza in linea con le caratteristiche della struttura in cui operano e con le sue specifiche esigenze di sicurezza.
A differenza del passato, il legislatore europeo richiede, nella gestione della protezione dei dati, di adottare un approccio fondato su un cambiamento organizzativo e culturale dell’intera struttura delle aziende. Che coda significa? Che, teorie a parte, le impree devono attivarsi per proteggere concretamente i propri sistemi informatici e, dunque, i dati che trattano.
Il titolare e il responsabile del trattamento dei dati devono, innanzitutto, valutare il “rischio informatico”, vale a dire il rischio di danni diretti e indiretti ai sistemi informatici dell’azienda e, conseguentemente, ai dati che essi contengono.
Essere consapevoli dei rischi informatici si traduce, nel concreto, nell’essere preparati all’eventuale manomissione, perdita o, peggio, al furto dei dati. E questo, per ogni azienda, va al di là dell’evitare le sanzioni previste dal GDPR, ma ha a che fare con la protezione del proprio business, dei propri clienti e della propria reputazione sul mercato.
Titolari di azienda e, più in generale, i responsabili della sicurezza informatica, non devono soltanto conoscere quanto previsto dal GDPR. Rispetto al passato, viene richiesto di “fare” mettendo in campo contromisure efficaci per limitare i rischi, dalla perdita accidentale di dati al cybercrime vero e proprio.
L’analisi e la valutazione dei rischi e l’individuazione dei rimedi devono essere parte sostanziale di un processo dinamico e costante nel tempo.
La sfida per le aziende, oggi, è prevenire il crimine informatico, anticipare gli eventi critici e mettere a punto soluzioni concrete che possano garantire la cybersecurity e, al medesimo tempo, la conformità al General Data Protection Regulation.
